Descripción de la Tecnica
Permission Groups Discovery es una técnica de ataque asociada al MITRE ATT&CK, categorizada como un attack-pattern. Este método permite a los adversarios identificar y explorar configuraciones de grupos y permisos dentro de un entorno informático. La información obtenida puede ser utilizada para determinar qué cuentas de usuario y grupos están disponibles, quién pertenece a qué grupo y cuáles tienen privilegios elevados.
Como Funciona
Los adversarios pueden intentar descubrir configuraciones de grupos y permisos mediante diversas metodologías. Esto incluye la enumeración de grupos de sistema, la verificación de memberships de usuarios en grupos específicos y la identificación de cuentas o grupos con privilegios elevados (como administradores). Esta información puede ser aprovechada para planificar ataques posteriores, como el acceso no autorizado a recursos críticos o la modificación de configuraciones sensibles.
Actores que la Utilizan
Esta técnica está relacionada con múltiples actores adversarios, incluyendo pero no limitado a: APTs (Advanced Persistent Threats), ransomware y otros tipos de amenazas cibernéticas. Los atacantes pueden utilizar esta técnica como parte de una estrategia más amplia para mapear un entorno objetivo y prepararse para acciones posteriores, como la exfiltración de datos o el acceso no autorizado.
Detección
La detección de esta técnica implica monitorear actividades anómalas relacionadas con la enumeración de grupos o permisos. Esto incluye la identificación de consultas inusuales a sistemas de gestión de usuarios, cambios en memberships de grupos o modificaciones de privilegios. Herramientas de seguridad pueden alertar sobre comportamientos sospechosos que involucren la exploración de estructuras de grupos y permisos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, es fundamental: - Hardening de permisos: Limitar los privilegios de los grupos y cuentas de usuario en entornos críticos. - Auditoría constante: Implementar monitoreo continuo de cambios en grupos y permisos, con registros detallados. - Control de acceso: Utilizar sistemas de gestión de permisos basados en roles (RBAC) para minimizar el riesgo de acceso no autorizado. - Actualización de herramientas de seguridad: Asegurar que los sistemas estén protegidos contra enumeración de grupos mediante protocolos y herramientas de detección avanzada.